6

我们有一个 GnuTLS 不喜欢的内部服务器,例如:

gnutls-cli --x509cafile /etc/ssl/certs/ca-certificates.crt foo.example.com
Processed 173 CA certificate(s).
Resolving 'foo.example.com'...
Connecting to '1.2.3.4:443'...
*** Verifying server certificate failed...
*** Fatal error: Error in the certificate.
*** Handshake has failed
GnuTLS error: Error in the certificate.

除了 GnuTLS 之外的所有内容都可以正常运行,但 git 似乎在 Ubuntu 14.04.2 LTS 上使用了开箱即用的 GnuTLS,因此 git 失败并显示:

GIT_CURL_VERBOSE=1 git clone https://foo.example.com/some-repo.git
Cloning into 'some-repo'...
* Couldn't find host foo.example.com in the .netrc file; using defaults
* Hostname was NOT found in DNS cache
*   Trying 1.2.3.4...
* Connected to foo.example.com (1.2.3.4) port 443 (#0)
* found 173 certificates in /etc/ssl/certs/ca-certificates.crt
* server certificate verification failed. CAfile: /etc/ssl/certs/ca-certificates.crt CRLfile: none
* Closing connection 0
fatal: unable to access 'https://foo.example.com/some-repo.git/': server certificate verification failed. CAfile: /etc/ssl/certs/ca-certificates.crt CRLfile: none

我们正在努力解决与 GnuTLS 的不兼容问题,但与此同时,有没有办法强制 git 告诉 curl 在运行时使用另一个 SSL 引擎(即不从源代码重建 git)?

4

1 回答 1

11

git 是为使用 libcurl 而构建的,libcurl 是为使用一个无法在运行时更改的固定 TLS 库而构建的。

但是,您可以强制 git 在运行时使用不同的 libcurl 构建,并且该 libcurl 可能正在使用 OpenSSL。最简单的方法是将使用 OpenSSL 的 libcurl 放在与“标准”目录不同的目录中,然后执行以下操作之一:

  1. 确保/etc/ld.so.conf在旧的 libcurl 托管目录之前列出新的目录 - 虽然它会为所有使用 libcurl 的程序更改此设置,您可能不希望这样(根据您的询问方式)

  2. 将“LD_LIBRARY_PATH=[你的特殊 libcurl 所在的目录] git”放入名为“git2”的脚本或别名中,并使用它代替普通的 git。

于 2016-01-06T23:47:44.750 回答